Onderhoud je de site van de plaatselijke korfbalvereniging en plaats je daarop de namen, gegevens en wetenswaardigheden van het eerste elftal? Of doe je op internet wekelijks uitgebreid verslag van de klaverjascompetitie? De kans is groot dat daarmee Europese richtlijnen voor dataprotectie op internet worden geschonden.

Dat blijkt uit een uitspraak die het Europese Hof van Justitie twee weken geleden deed. De zaak begon in Zweden, waar het lid van een kerkgemeente, Bodil Lindqvist, op internet de namen, en soms adressen en telefoonnummers van haar collega’s opnam. Bovendien beschreef Lindqvist de werkzaamheden en liefhebberijen van haar collega’s. Ook vermeldde zij dat een collega haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Een Zweedse rechtbank veroordeelde Lindqvist tot een boete, omdat zij zogenaamde ‘geautomatiseerd verwerkte persoonsgegevens’ had gebruikt, zonder dit vooraf aan te melden bij de Zweedse dataprotectieautoriteit. Bovendien werden de gegevens zonder toestemming naar derde landen doorgegeven en waren gevoelige persoonlijke gegevens over ziekte en ziekteverlof vermeldt. In het hoger beroep besloot het Zweedse Hof om aan het Europese Hof te vragen of deze zaken onder de Europese richtlijnen voor dataprotectie vallen.

Volgens het Europese Hof is dit inderdaad het geval. Het vermelden van de namen en telefoonnummers van personen op internet valt aan te merken als een ‘geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens’. Het Hof stelde ook dat het vermelden van iemands gezondheidstoestand onder een richtlijn uit 1995 valt, die gaat over de verwerking van gegevens betreffende de gezondheid. Volgens het Hof valt de Zweedse zaak niet onder één van de uitzonderingscategorieën, zoals de bescherming van de openbare veiligheid, of activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.

Het Hof oordeelde wel dat er geen sprake was van het ongeoorloofd doorgeven van gegevens naar derde landen. Hoewel in de praktijk de publicatie van namen op internet betekent dat ze ook toegankelijk zijn voor mensen uit derde landen, stond volgens het Europese Hof de Europese wetgever dit ten tijde van de opstelling van de richtlijn in 1995 niet voor ogen. ‘Het was niet de bedoeling van de gemeenschapswetgever het begrip ‘doorgifte van gegevens naar een derde land’ ook te laten gelden voor het plaatsen van gegevens op een internetpagina,’ aldus het Hof.

Het Nederlandse College Bescherming Persoonsgegevens (CBP) kan nog niet aangeven wat deze uitspraak voor de praktijk zal betekenen. Volgens een woordvoerder is het ‘een verstandig arrest waarbij niet veel praktische consequenties op korte termijn te verwachten zijn’. Volgens het CBP bevestigt de rechter hiermee eerdere uitspraken. Het meest interessante is volgens het CBP dat het Hof bezig is jurisprudentie te bouwen op het gebied van Internet en dataprotectie. Wel zegt het CPB dat men de zaak intern zal uitpluizen, omdat het veel vragen krijgt die raken aan dit soort zaken. ‘Internet is een lastig gebied,’ aldus de woordvoerder. Het CPB wil binnenkort haar beleidsregels herzien, om duidelijkere prioriteiten te stellen waar het gaat om zaken die raken aan internet en dataprotectie.